登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
探讨一个ARP Requst Storm案例
1
2
/ 2 页
下一页
返回列表
发帖
查看:
51907
|
回复:
35
探讨一个ARP Requst Storm案例
[复制链接]
孤独的意尹者
孤独的意尹者
当前离线
积分
109
发表于 2006-6-15 13:10:06
|
显示全部楼层
|
阅读模式
前两天在客户那边处理了一起网络故障,现在整理一下,作为一个案例,供各位高人讨论!
故障现象: 用户经常无规律的掉线,掉线时ping网关不通;掉线一段时间后,网络又恢复正常。如此反复。。。。。
初步判断:通过故障现象我们基本上可以判断内网存在针对网关的ARP欺骗行为。
分析:我通过电话让用户在掉线时,用arp -a查看网关MAC地址,并做好记录;当网络恢复正常的时候再次使用arp -a查看并记录网关MAC地址;通过比较,我们发现两次获得的MAC地址是不一样的,至此我们可以断定是内网的某台机器在对内网的网关地址进行ARP欺骗。
分析结果是有了,但用户不放心,一定要我过去一下,没办法,只好过去一下了。
处理过程:到用户那之后,我便把我的本子接到用户的交换机上开始抓包(因为主要抓ARP包,所以就不需要做端口镜像了),还没等到故障现象重现呢,我们就发现问题了:内网有几台机器在向内部网段的所有机器疯狂的发送ARP Requst包,我们找到那些机器,并用木马专杀工具杀毒,查杀了几十个木马后,再抓包,发现那些机器不再发不正常的ARP Requst包了,但同时,我发现有一个MAC地址还在发送这种不正常的ARP Requst包,经用户确定,该MAC地址属于一台专网的华为路由器,奇怪了,路由器是个网络设备,它不存在感染木马的可能啊,是什么原因导致它不断的发送ARP Requst包呢??但是我们在重启该路由之后,抓包发现路由不再发这种不正常的在发送这种不正常的ARP Requst包了。
处理结果:查杀木马后,网络再没有出现掉线现象
小结:在故障现象没有重现前,不要轻易采取一些措施,正是因为我一发现不正常就让用户查杀木马导致了我没有抓到我最想抓的包。
问题: 可能是什么原因导致华为路由器不断地发送ARP Requst包?希望大家一起来探讨一下这个问题并期望最终有高人能够给出合理的解释。
附件是用omnipeek抓到的包
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
评分
1
查看全部评分
菜鸟人飞
回复
使用道具
举报
菜鸟人飞
菜鸟人飞
当前离线
积分
172
发表于 2006-6-15 13:43:04
|
显示全部楼层
首先感谢“孤独的意尹者 ”的翔实案例及精彩点评。
华为路帖器不断发送ARP Request数据包,我认为可能以下有的原因:
1.华为路由器上启用了转发广播包的功能;
2.网络中存在伪造MAC地址的ARP扫描。
回复
使用道具
举报
yangqjun
yangqjun
当前离线
积分
0
发表于 2006-7-11 16:15:00
|
显示全部楼层
华为路由器上可能有无效的ARP表项
我们学校也出现过类似情况,华为工程师检查路由器的ARP表项后发现有无效的ARP表项,你可以登陆到华为路由器上看一下是否有无效的ARP表项
回复
使用道具
举报
js_wan
js_wan
当前离线
积分
0
发表于 2006-7-12 11:02:33
|
显示全部楼层
精彩,要好好学习一下!!!!
回复
使用道具
举报
qqbbl
qqbbl
当前离线
积分
0
发表于 2006-7-13 16:49:49
|
显示全部楼层
不错哦,好好学习。继续努力。
回复
使用道具
举报
lifree
lifree
当前离线
积分
0
发表于 2006-7-17 11:55:59
|
显示全部楼层
<精彩>要好好学习。<精彩>
回复
使用道具
举报
wanglei0325
wanglei0325
当前离线
积分
0
发表于 2006-7-18 17:12:30
|
显示全部楼层
是啊,我还碰到过华数的机顶盒发大量的ARP包
回复
使用道具
举报
jiesen
jiesen
当前离线
积分
8
发表于 2006-7-18 22:44:36
|
显示全部楼层
楼主说的都是ARP Request包吗,故障中的ARP欺骗应当是ARP reply包吧?是笔误否?
还有就是哪个华为的路由器在疯狂的发送ARP欺骗广播,可能是ARP生存时间设得比较长吧?
这种专网上的路由器,照理不应放到可上INTERNET的网络中来的!应当是特理隔离的,呵呵!
[
本帖最后由 jiesen 于 2006-7-18 23:11 编辑
]
回复
使用道具
举报
孤独的意尹者
孤独的意尹者
当前离线
积分
109
楼主
|
发表于 2006-7-29 11:39:20
|
显示全部楼层
to jiesen :
1,我抓包时抓到的就是ARP Request包,而我想抓的是ARP response包,但没抓到,这在小结中提到了:
“小结:在故障现象没有重现前,不要轻易采取一些措施,正是因为我一发现不正常就让用户查杀木马导致了我没有抓到我最想抓的包。”
2,华为路由器发送ARP Request扫描包,应该跟其ARP生存时间没什么关系吧,如果路由器的ARP生存时间比较长的话,那么在ARP的生存时间完了后,它才会发送ARP Request包吧,而不是发送针对整个网段的ARP Request扫描包,而且这还应该在路由器会主动发送ARP请求包的前提之下。。。。。。这里疑问太多,我看有必要发专贴讨论,总之感觉关系不大。
3,关于网络结构:防火墙三口,一口接INTERNET,一口接专网,一口接内网;内网跟专网走桥接模式。
[
本帖最后由 孤独的意尹者 于 2006-7-31 10:31 编辑
]
回复
使用道具
举报
孤独的意尹者
孤独的意尹者
当前离线
积分
109
楼主
|
发表于 2006-7-29 11:49:25
|
显示全部楼层
to yangqjun :
“华为工程师检查路由器的ARP表项后发现有无效的ARP表项,你可以登陆到华为路由器上看一下是否有无效的ARP表项 ”
正常的无效ARP表项是因为没学习到它所需要的MAC地址造成的吧,暂且不说这个专网路由器向内网学习ARP绝对是没有问题的,我们先看它发送的是针对整个内网机器的arp request扫描包,而不是针对某几台机器的arp request包,所以“无效的ARP表项造成这种现象”值得商榷。
回复
使用道具
举报
孤独的意尹者
孤独的意尹者
当前离线
积分
109
楼主
|
发表于 2006-7-29 11:52:39
|
显示全部楼层
在网上看到这样一例,发上来供大家参考,
但我所遇到的造成这种现象的原因与下面所给的这个案例的原因并不一样。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
评分
1
查看全部评分
超级版主
回复
使用道具
举报
jordan2001554
jordan2001554
当前离线
积分
0
发表于 2006-7-31 10:29:02
|
显示全部楼层
深刻学习,对一个新人来说很有用处谢谢
回复
使用道具
举报
lip1203
lip1203
当前离线
积分
4
发表于 2006-7-31 11:24:13
|
显示全部楼层
很好的案例,值得学习
回复
使用道具
举报
mycold
mycold
当前离线
积分
0
发表于 2006-7-31 12:40:57
|
显示全部楼层
楼主牛人啊。。。佩服
回复
使用道具
举报
apolllos
apolllos
当前离线
积分
0
发表于 2006-7-31 19:19:02
|
显示全部楼层
用Antiarp也可以查ARP攻击!
使用方法:
1、填入网关IP地址,点击[获取网关地址]将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意:如出现ARP欺骗提示,这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包,如果您想追踪攻击来源请记住攻击者的MAC地址,利用MAC地址扫描器可以找出IP 对应的MAC地址.
2、IP地址冲突
如频繁的出现IP地址冲突,这说明攻击者频繁发送ARP欺骗数据包,才会出现IP冲突的警告,利用Anti ARP Sniffer可以防止此类攻击。
3、您需要知道冲突的MAC地址,Windows会记录这些错误。查看具体方法如下:
右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突,并记录了该MAC地址,请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-),输入完成之后点击[防护地址冲突],为了使MAC地址生效请禁用本地网卡然后再启用网卡,在CMD命令行中输入Ipconfig /all,查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符,如果更改失败请与我联系。如果成功将不再会显示地址冲突。
注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡
回复
使用道具
举报
ktjxtty
ktjxtty
当前离线
积分
1
发表于 2006-8-1 07:10:23
|
显示全部楼层
恩,学习学习..
回复
使用道具
举报
booshy
booshy
当前离线
积分
0
发表于 2006-8-1 14:05:11
|
显示全部楼层
所需要的,学习中,以后要多发这类帖子哈,大家讨论,我学习
回复
使用道具
举报
bjxuzhun
bjxuzhun
当前离线
积分
0
发表于 2006-12-17 17:16:16
|
显示全部楼层
这里果然是一个学习的好地方
回复
使用道具
举报
ghostorc
ghostorc
当前离线
积分
0
发表于 2006-12-18 09:49:15
|
显示全部楼层
很多软件都可以在网络中任意一个节点上制造出任何想要的ARP请求或回复!
回复
使用道具
举报
san980
san980
当前离线
积分
0
发表于 2006-12-18 10:04:41
|
显示全部楼层
今天又学习了哟!。。。
回复
使用道具
举报
lovehack2006
lovehack2006
当前离线
积分
0
发表于 2007-2-10 01:56:38
|
显示全部楼层
学习了,,,,呵呵我就是网吧的。。也出现过的!!!!
回复
使用道具
举报
tongsheng319
tongsheng319
当前离线
积分
0
发表于 2007-2-10 15:57:46
|
显示全部楼层
学习,谢谢各位高手!
回复
使用道具
举报
steveyoung
steveyoung
当前离线
积分
8
发表于 2007-2-11 00:22:26
|
显示全部楼层
我觉得端口镜像还是要做的吧,因为 ARP 欺骗可以有2种形式,ARP Request 和 ARP Reply,虽然 ARP Request 是广播,但是 ARP Reply 却是单播的。
在 swithsniffer 软件里边就可以设置欺骗类型(ARP-Request 或者 ARP-Reply)
[
本帖最后由 steveyoung 于 2007-2-11 00:23 编辑
]
回复
使用道具
举报
naboo
naboo
当前离线
积分
0
发表于 2007-2-27 10:20:49
|
显示全部楼层
我觉得那台华为没有配置为静态ARP表项
回复
使用道具
举报
zrfcsn
zrfcsn
当前离线
积分
0
发表于 2007-3-18 22:01:53
|
显示全部楼层
真知!!!!
顶!!
回复
使用道具
举报
kiah123
kiah123
当前离线
积分
0
发表于 2007-4-1 23:32:47
|
显示全部楼层
谢啦 受益不浅!!
回复
使用道具
举报
osx1969
osx1969
当前离线
积分
0
发表于 2007-5-5 22:36:48
|
显示全部楼层
值得学习.谢啦 受益不浅!!
回复
使用道具
举报
dky198
dky198
当前离线
积分
0
发表于 2007-5-29 22:37:32
|
显示全部楼层
的确不错,这个论坛是我们网络爱好者的福音
回复
使用道具
举报
秋水寒
秋水寒
当前离线
积分
0
发表于 2007-6-19 15:32:46
|
显示全部楼层
不错,学习一下。。。。。
回复
使用道具
举报
hudeg632
hudeg632
当前离线
积分
4
发表于 2007-6-19 17:39:53
|
显示全部楼层
这几天我也有楼主说的问题,就是华为路由不断地向网中没有上网的机器不断发送arp请求包,询问那台机器的地址,我构造一个数据包告诉路由,它就不发了,管不了多长时间,它又开始了.有两次处网的网址传送了几个UDP数据包后它就开始发了,我让路由器反向传送1000包他发过来的数据.也管了一段时间,说出来供大家参考,我的意思是有不有外网攻击的可能?
[
本帖最后由 hudeg632 于 2007-8-3 00:14 编辑
]
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
下一页 »
1
2
/ 2 页
下一页
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2006-6-15 13:10:06
发表于 2006-6-15 13:43:04
发表于 2006-7-11 16:15:00